NL +31 (0)20 4232420 / Spain +34 607 676 354 info@fortytwo.nl

En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el séptimo requisito. El mismo se centra en restringir el acceso al entorno de datos del titular de la tarjeta (CDE). Donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

 

Requierimiento 8 de PCI DSS: Identificar y autenticar el acceso a los sistemas

 

La posibilidad de identificar las acciones de cada una de las personas con acceso a datos o sistemas críticos garantiza que cada persona sea responsable de sus acciones.

Si bien es posible implementar sistemas de autenticación basado en diferentes factores el mas utilizado es el basado en ID de usuario y contraseña (factor I), dejando los otros factores de autenticación (2 y 3) como protección adicional.

El éxito de una implementación del sistema de autenticación, generalmente basada en una contraseña, depende de su diseño y de los métodos de seguridad para su protección durante la su transmisión y almacenamiento.

 

Explicaremos los principales desafíos y pasos que debemos considerar

 

  1. Implementar políticas y procedimientos para garantizar una gestión adecuada de la identificación del usuario.
  2. Definir un ID único para todos los usuarios antes de permitirles acceder a los componentes del sistema o a los datos del titular de la tarjeta.
  3. Implementar un proceso para mantener el control de las nuevas incorporaciones, eliminaciones y modificaciones de credenciales de acceso de los IDs de usuario.
  4. Cancelar todo el acceso otorgados a cualquier usuario desempleado, inmediatamente.
  5. Suspender a los usuarios de empleados inactivos de larga data.
  6. Habilitar y monitorear el acceso de terceros solo cuando sea necesario y durante un tiempo limitado.
  7. Monitorear las actividades para todas los IDs de usuario, especialmente aquellas otorgadas a terceros.
  8. Limitar el número de intento de accesos fallidos a través del bloqueo de cuenta durante un mínimo de media hora o desbloquee manualmente.
  9. Implementar doble factor de autenticación para los accesos administrativos que no son de consola y especialmente para todos los accesos remotos.
  10. Utilice únicamente cifrado sólido para la transmisión y almacenamiento de las contraseñas de autenticación.
  11. Implementar una sólida política de contraseña para reducir el riesgo de que no sea fácil de adivinar para una persona maliciosa que desea usar una identificación de usuario válida.
  12. Prohibir el uso de usuarios genéricos o contraseñas compartidas. Esto amenaza la posibilidad de identificar de manera unívoca las actividades de los usuarios.
  13. Security awareness es importante. El personal siempre debe conocer y respetar las políticas de seguridad y los procedimientos de identificación y autorización de acceso. Sea creativo para capacitar al personal con frecuencia y reconozca los procedimientos y políticas de autenticación segura.

Tal como se recomendó en el blog anterior, la implementación de una solución centralizada que permita restringir el acceso al sistema en función del rol es muy útil. Este tipo de solución de sistema también permite monitorear la actividad de los usuarios e implementar sólidas políticas de contraseña centralizadas.

Need help with PCI DSS implementation? Our QSAs can help out.

Read more about:
PCI DSS requirement 1: Protecting Cardholder data environment
PCI DSS requirement 2: Change your defaults
PCI DSS requirement 3: Don’t store cardholder data  
PCI DSS requirement 4: Encryption  
PCI DSS requirement 5: Update and Scan 
PCI DSS requirement 6: Develop and maintain secure systems and applications
PCI DSS requirement 7: Restrict access to CHD 
PCI DSS requirement 8: Identify, Authenticate, and Authorize  
PCI DSS requirement 9: Restrict physical access to Cardholder data 
PCI DSS requirement 10: Track and monitor all access to network resources and cardholder data